Sie sind Hacking- oder Phishing-Opfer? Kundendaten sind betroffen? Dann heißt es schnell, transparent und konsequent zu handeln. Denn nach DSGVO drohen empfindliche Strafen. Sind Sie richtig vorbereitet? Eine Checkliste.

Es passiert manchmal trotz aller Vorsicht: Sie oder Mitarbeitende in Ihrem Unternehmen werden Opfer von Hacking, Phishing oder Datendiebstahl. Auch wenn Sie zuvor verantwortlich alle empfohlenen Sicherheitsmaßnahmen ergriffen haben (z. B. Passwortschutz und Vorkehrungen gegen Phishing und Hacking, können Ihnen empfindliche Strafen drohen. Nämlich dann, wenn Sie die in der Datenschutzgrundverordnung (DSGVO) vorgeschriebenen Meldefristen über den Vorfall nicht beachten. Allein in Deutschland wurden bei Verstößen gegen die DSGVO bereits Bußgelder in Höhe von mehr als 70 Mio. Euro verhängt.

DSGVO-Verstöße: Hohe Bußgeldsummen (in Euro)

-

Quelle: DLA Piper 2021 (Gesamthöhe der in den Jahren 2018 bis 2021 in den europäischen Ländern insgesamt gezahlten Bußgelder bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO)), Darstellung: FFB

Diese Bußgelder drohen

Gemäß Art. 83 Nr. 4 DSGVO sind Bußgelder bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes möglich.

Vorbereitet für den Ernstfall

Nicht jede Datenpanne, die im Berufsleben auftritt, ist eine Datenschutzverletzung. Wenn Sie Kontaktdaten Ihrer Kunden auf dem Smartphone gespeichert haben und dieses beim Segelurlaub unwiederbringlich im Meer versinkt, können Sie diese Daten einfach auf einem neuen Endgerät wiederherstellen. Zum Beispiel mit Ihrem Backup auf dem Computer. Da niemand unbefugt von personenbezogenen Daten Kenntnis erlangt, liegt keine Datenschutzverletzung vor. Nach dem Gesetzgeber ist die „Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Wenn aber eine Datenschutzverletzung vorliegt, sind Eile und Sorgfalt geboten. Definieren Sie also – ggf. mit Ihren Mitarbeiterinnen und Mitarbeitern – Routinen, die im Ernstfall eingehalten werden müssen. Ob diese das Handeln eines benannten Datenschutzbeauftragten oder von Ihnen in der Leitungsfunktion Ihres Unternehmens einschließen, hängt auch von der Betriebsgröße ab.

Datenschutzbeauftragter: ab 20 Mitarbeitern

Seit dem 26. November 2019 (Änderung §38 Abs. 1 Satz 1 BDSG) ist die Benennung eines Datenschutzbeauftragten erst dann erforderlich, wenn eine verantwortliche Stelle in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Wir haben für Sie eine Checkliste der wichtigsten Schritte zusammengestellt, an der Sie sich orientieren können.

Checkpunkt 1: Vorfälle schnell erkennen und Sachverhalt aufklären

Wer mit sensiblen personenbezogenen Daten im Unternehmen umgeht, muss nach DSGVO so geschult sein, dass Vorfälle von Datenschutzverletzungen schnell erkannt werden. Wenn sich also beispielweise Kunden über „gefälschte“ E-Mails aus Ihrem Unternehmen beschweren, ist das ein fast sicheres Zeichen, dass ein E-Mail-Konto gehackt wurde. Dann muss sofort reagiert werden: Insbesondere ist der Sachverhalt zu klären. Am Beispiel also: Welche E-Mail-Konten sind nicht mehr sicher? Welche Kunden könnten betroffen sein?

Checkpunkt 2: Datenschutzbeauftragten oder Verantwortlichen einbinden

Wenn der Vorfall einer Mitarbeiterin oder einem Mitarbeiter bekannt wird, der nicht (z. B. als Datenschutzbeauftragte oder Geschäftsführer) für die Meldepflichten gem. DSGVO zuständig ist, müssen die zuständigen Personen unverzüglich informiert und eingebunden werden.

Checkpunkt 3: Ursachen prüfen, rasche Maßnahmen zur Schadensbegrenzung ergreifen

Eine genaue Analyse des Vorfalls muss die Ursachen prüfen. Anschließend sollten kurzfristig Maßnahmen ergriffen werden, um den Schaden für (Daten von) Kundinnen und Kunden zu begrenzen oder abzuwenden. Wenn also ein E-Mail-Konto gehackt wurde, sollten beispielsweise Passwörter sofort geändert werden, um weiteren möglichen Missbrauch zu vermeiden. Die FFB als depotführende Bank sollte darüber informiert werden, welche Kunden in der Folge des Vorfalls möglicherweise Angriffsziele von Phishing-Attacken werden könnten, mit denen Zugangsdaten zu Ihren Depots ausgespäht werden (siehe auch Beispiel 2 in den Detailinformationen zu Cyberattacken). Sprechen Sie dazu persönlich mit der Kundenbetreuung der FFB.

Checkpunkt 4:  Den Vorfall dokumentieren

Für die spätere Analyse und die Entwicklung von Verbesserungsvorschlägen, aber auch im Falle einer juristischen Prüfung muss der Vorfall klar und eindeutig dokumentiert werden.

Checkpunkt 5:  Das Risiko für Kundendaten beurteilen

Ein ganz entscheidender Punkt: Denn nicht jeder Datenvorfall ist eine meldepflichtige Datenschutzverletzung. Als Grundlage kann die Grafik zur Risikobewertung dienen. Vorfälle im grünen Bereich sind nicht meldepflichtig – weder gegenüber (hier nicht „betroffenen“) Kunden noch gegenüber den Aufsichtsbehörden für den Datenschutz. Die Farbe Rot kennzeichnet Vorfälle, die auf jeden Fall sowohl an die Betroffenen als auch an die Behörden gemeldet werden müssen.

Identifizieren sie also in einem ersten Schritt die möglichen Schäden für Betroffene, insbesondere Ihre Kundinnen und Kunden. In Betracht kommen dabei Schäden wie Identitätsdiebstahl oder -betrug, finanzielle Verluste oder eine Rufschädigung. 

Schätzen Sie dann die Eintrittswahrscheinlichkeit und Schwere der möglichen Schäden ab. Ein Gesichtspunkt, der für eine niedrige Eintrittswahrscheinlichkeit sprechen kann: Sie haben zum Beispiel eine E-Mail an einen sehr kleinen Kreis von falschen Adressaten geschickt oder ein Datenleck innerhalb kurzer Zeit wieder beseitigt. Neben der Dauer des Vorfalls spielen auch die während oder nach dem Vorfall getroffenen Sicherheitsmaßnahmen eine entscheidende Rolle. 

Risikobewertung bei Datenschutzvorfällen

-

Darstellung zur Illustration.

Leider bleibt der Bereich der gelb gekennzeichneten Zweifelsfälle – wie so oft – recht groß. Nutzen Sie die Beispiele unten, um die Schwere eines Vorfalls besser einschätzen zu können. Wenn Sie unsicher sind, sollten Sie betroffene Kunden klar und eindeutig informieren und dann auch nicht die Meldung an die Aufsichtsbehörde vergessen.

Beispiel A: Meldung unbedingt erforderlich

Ein unverschlüsselter Laptop, der personenbezogene Daten Ihrer Kunden enthält, wurde gestohlen. Oder Sie haben Sorge, dass jemand unbefugt Zugriff auf Ihre Zugangsdaten zum Frontend der FFB erlangt haben könnte. Die in Rede stehenden Daten Ihrer Kunden umfassen in diesem Fall neben Angaben, die dem Bankgeheimnis unterliegen, u.a. Name, Adresse und Geburtsdatum. Daher wäre nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA) wegen der Gefahr des Identitätsdiebstahls von einem hohen Risiko auszugehen. Eine Meldung an die Aufsichtsbehörde und an die Betroffenen ist dringend geboten.

Beispiel B: Meldung eher nicht erforderlich

Bereits verschlüsselte Daten werden durch einen Ransomware-Angriff nochmals verschlüsselt. Sie können nicht zugreifen, werden ggf. erpresst mit dem Versprechen, dass die Cyberkriminellen die Daten nach Lösegeldzahlung wieder freigeben. Es erfolgte aber kein Datenabfluss. Mithilfe eines Backups können die Daten schnell und unproblematisch wiederhergestellt werden. So können Sie Störungen für Ihre Kunden vermeiden. In einem solchen Fall kann nach der Bewertung durch die Leitlinien des EDSA eine Meldung an die Aufsichtsbehörde und an die Betroffenen unterbleiben. Achtung Zeitfaktor: Ist das Problem nicht innerhalb weniger Stunden behoben, kann dennoch eine Meldung geboten sein.

Checkpunkt 6:  Die Entscheidung über die Meldung fällen

Wer in Ihrem Unternehmen in der Verantwortung für den Datenschutz steht, muss aufgrund der Sachlage eine Entscheidung für oder gegen die Meldung treffen. Wenn nicht gemeldet wird, immer dokumentieren, welche Gründe unter der oben dargestellten Risikoabwägung gegen die Meldung sprechen. So sind Sie auf der „sicheren“ Seite.

Checkpunkt 7: Die Datenschutzverletzung rechtzeitig melden

Fällt die Entscheidung für eine Meldung, ist zügiges Handeln geboten. Binnen 72 Stunden nachdem Sie Kenntnis von einer meldepflichtigen Datenschutzverletzung erhalten haben, muss die Meldung bei Betroffenen und der Aufsichtsbehörde für den Datenschutz im Bundesland ihres Geschäftssitzes eingehen.

Die Zeit läuft: Meldefrist beachten

-

Darstellung: FFB. Nur zur Illustration

Ihre Meldung sollte mindestens die folgenden Inhalte umfassen:

  • Beschreibung der Art der Datenschutzverletzung. Sofern es möglich ist, geben Sie die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze an.
  • Namen und Kontaktdaten Ihres Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen.
  • Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung; Was kann für Ihre Kunden passieren?
  • Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. Maßnahmen zur Abmilderung der Folgen und Schäden.

Online-Meldung von Datenschutzvorfällen: Website je Landesbehörde

Datenschutz ist Ländersache. Ihre Meldung über eine Datenschutzverletzung muss daher an die Aufsichtsbehörde des Bundeslandes gesandt werden, in dem Ihr Unternehmen seinen Geschäftssitz hat. Wir haben für Sie die Links zu der jeweiligen Meldeseite zusammengestellt. Dort finden Sie auch alle Angaben zur Vorgehensweise in ihrem Bundesland:

Diese Informationen wurden mit größter Sorgfalt für Sie zusammengestellt. Bitte beachten Sie dennoch: Es obliegt Ihnen sicherzustellen, dass die Meldung eines Datenschutzvorfalls termingerecht mit dem zum jeweiligen Zeitpunkt gültigen Verfahren an die zuständige Aufsichtsbehörde übermittelt wird.

Checkpunkt 8:  Aus Fehlern lernen

Natürlich haben die Vermeidung von Schäden, die rechtzeitige Meldung und die Beseitigung von Schäden oberste Priorität. Doch dann gilt es, den Vorfall genau zu analysieren. Nur so lassen sich Fehlerquellen in Zukunft vermeiden, Gefahrenquellen abstellen und Verbesserungen in den Prozessen gezielt umsetzen.

Downloads für Ihre Beratung:

Weitere Artikel zum Thema

Ergebnisse gefunden

Strategien für Ihre Kundenportfolios:

Zukunftstrends

KI als Anlagechance? Es kommt auf die Kriterien an | DWS

Welche Kriterien bei der Identifikation langfristiger Nutznießer von KI helfe…

DWS

DWS

Experten-Gastbeitrag

08. April 2024

ESG

Fossiles Comeback: Geht ESG die Puste aus? | FIDELITY

Der Umstieg auf erneuerbare Energien soll auch über den Kapitalmarkt finanzie…

Fidelity

Fidelity

Experten-Gastbeitrag

26. Februar 2024

Aktives Management

Private Credit: Höhere Zinsen werden zur Belastungsprobe | Fidelity

Der Markt für private Kredite von Finanzdienstleistern außerhalb des Bankensy…

Fidelity

Fidelity

Experten-Gastbeitrag

29. Januar 2024

Kapitalmarktausblicke

Diversifizierte Portfolios für divergierende Märkte | PIMCO

Die Entwicklungen der großen Volkswirtschaften dürften auseinanderdriften. Fü…

PIMCO

PIMCO

Experten-Gastbeitrag

19. April 2024

Aktives Management

Qualität für Generationen | Carmignac

Qualität, langfristiges Kapitalwachstum und Nachhaltigkeit: Das sind die Grun…

Carmignac

Carmignac

Experten-Gastbeitrag

19. April 2024

Aktives Management

Die Analyse von Unternehmensanleihen neu gestalten | DPAM

Risiko, Rendite und Nachhaltigkeit – ein neuer Ansatz für die Analyse von Unt…

DPAM

DPAM

Experten-Gastbeitrag

08. April 2024

Kapitalmarktausblicke

Diversifizierte Portfolios für divergierende Märkte | PIMCO

Die Entwicklungen der großen Volkswirtschaften dürften auseinanderdriften. Fü…

PIMCO

PIMCO

Experten-Gastbeitrag

19. April 2024

Zukunftstrends

Geodaten als Zukunftskatalysator | Pictet

Geodaten werden überall eingesetzt, von der Verbesserung der Ernteerträge bis…

Pictet Asset Management

Pictet Asset Management

Experten-Gastbeitrag

02. April 2024

Aktives Management

Attraktives Zinsniveau: Wie macht man mehr daraus? | PIMCO

Regelmäßige Zinserträge nutzen und die Aussicht auf Kursgewinne sowie aktienä…

PIMCO

PIMCO

Experten-Gastbeitrag

06. März 2024